水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > MT4.23

MT4.23

2008年12月3日(水曜日)

MT4.23

公開: 2017年9月26日16時0分頃

[重要] セキュリティアップデート Movable Type 4.23 の提供を開始 (www.sixapart.jp)

アプリケーション管理画面の一部において、適切に入力エスケープされないため、クロスサイトスクリプティングが発生しうる

この脆弱性への対処を行った修正版 (Movable Type 4.23) を提供します。

MT4.22のときと似たような修正だなぁ……と思った人は正解で、「JVN#81490697 Movable Type におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」がひっそりと更新されています。

※しかし……。たぶん、そのうち追記します。

ちなみに、MTE のほうには「JVN#02216739 Movable Type Enterprise におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」という別のやつも反映されているようですね。こちらは詳細不明ですが、「特定のウェブブラウザ上で」「報告者: ネットエージェント株式会社 長谷川 陽介 氏」となっているところからだいたい想像できそうな気がします。

関連する話題: Web / セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / Movable Type

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト